SpyNote ataca de nuevo: spyware de Android dirigido a instituciones financieras

Aplicaciones antivirus y de limpieza falsas detectadas distribuyen el troyano bancario para Android SharkBot.

 

Las instituciones financieras están siendo atacadas por una nueva versión del malware de Android llamado SpyNote al menos desde octubre de 2022 que combina características de spyware y troyanos bancarios.

“La razón detrás de este aumento es que el desarrollador del spyware, que anteriormente lo vendía a otros actores, hizo público el código fuente”, dijo ThreatFabric en un informe. “Esto ha ayudado a otros actores a desarrollar y distribuir el spyware, a menudo también dirigido a instituciones bancarias”.

Algunas de las instituciones notables que se hacen pasar por el malware incluyen Deutsche Bank, HSBC U.K., Kotak Mahindra Bank y Nubank.

SpyNote (también conocido como SpyMax) es rico en funciones y viene con una gran cantidad de capacidades que le permiten instalar arbitrariamente; recopilar mensajes SMS, llamadas, videos y grabaciones de audio; rastrear ubicaciones GPS; e incluso obstaculizar los esfuerzos para desinstalar la aplicación.

También sigue el modus operandi de otro malware bancario al solicitar permisos a los servicios de accesibilidad para extraer códigos de autenticación de dos factores (2FA) de Google Authenticator y registrar las pulsaciones de teclas para desviar las credenciales bancarias.

Además, SpyNote incluye funcionalidades para saquear las contraseñas de Facebook y Gmail, así como capturar contenido de pantalla aprovechando la API MediaProjection de Android.

La firma de seguridad holandesa dijo que la iteración más reciente de SpyNote (llamada SpyNote.C) es la primera variante para atacar aplicaciones bancarias, así como otras aplicaciones conocidas como Facebook y WhatsApp.

También se sabe que se hace pasar por el servicio oficial de Google Play Store y otras aplicaciones genéricas que abarcan fondos de pantalla, productividad y categorías de juegos. Una lista de algunos de los artefactos SpyNote, que se entregan principalmente a través de ataques de smishing, es la siguiente:

  • Bank of America Confirmation (yps.eton.application)
  • BurlaNubank (com.appser.verapp)
  • Conversations_ (com.appser.verapp )
  • Current Activity (com.willme.topactivity)
  • Deutsche Bank Mobile (com.reporting.efficiency)
  • HSBC UK Mobile Banking (com.employ.mb)
  • Kotak Bank (splash.app.main)
  • Virtual SimCard (cobi0jbpm.apvy8vjjvpser.verapchvvhbjbjq)

Se estima que SpyNote.C ha sido comprado por 87 clientes diferentes entre agosto de 2021 y octubre de 2022 después de que su desarrollador lo anunciara bajo el nombre de CypherRat a través de un canal de Telegram.

Sin embargo, la disponibilidad de código abierto de CypherRat en octubre de 2022 ha llevado a un aumento dramático en el número de muestras detectadas en la naturaleza, lo que sugiere que varios grupos criminales están cooptando el malware en sus propias campañas.

ThreatFabric señaló además que el autor original ha comenzado a trabajar en un nuevo proyecto de spyware con nombre en código CraxsRat, que se ofrecerá como una aplicación de pago con características similares.

“Este desarrollo no es tan común dentro del ecosistema de spyware de Android, pero es extremadamente peligroso y muestra el inicio potencial de una nueva tendencia, que verá una desaparición gradual de la distinción entre spyware y malware bancario, debido al poder que el abuso de los servicios de accesibilidad da a los delincuentes”, dijo la compañía.

Se recomienda a los usuarios que se abstengan de descargar aplicaciones de fuentes no confiables, examinen las revisiones antes de instalar cualquier aplicación y otorguen solo aquellos permisos que sean relevantes para el propósito de la aplicación.

“Google Play Protect comprueba los dispositivos Android con Google Play Services en busca de aplicaciones potencialmente dañinas de otras fuentes”, dijo un portavoz de Google. “Los usuarios están protegidos por Google Play Protect, que puede advertir a los usuarios o bloquear aplicaciones maliciosas identificadas en dispositivos Android”.

Los hallazgos se producen cuando un grupo de investigadores demostró un nuevo ataque contra dispositivos Android denominado EarSpy, que proporciona acceso a conversaciones de audio, ubicaciones interiores y entradas de pantalla táctil al aprovechar los sensores de movimiento incorporados de los teléfonos inteligentes y el altavoz del oído como un canal lateral.

Privacy Preferences
When you visit our website, it may store information through your browser from specific services, usually in form of cookies. Here you can change your privacy preferences. Please note that blocking some types of cookies may impact your experience on our website and the services we offer.